EC-Council CSA(SOC) 各章節重點

# EC-Council CSA(SOC) 各章節重點更新時間:2024/05/06 通過考試條件 --- - 考試科目:312-39 EC-Council Certified SOC Analyst 目前教材版本為v2 - 考試時間3小時，100題 - 單選題(有單選式多選題) - 必須答對70%題目才會PASS - 目前考試支援的語系版本僅只有英文 - 考試地點:Pearson VUE考試中心(基本上建議就跟在恆逸上課、恆逸考試) - 考試費用:有報課程會送考試券一張，沒有報課程單獨考要450美金，如果在恆逸重考有優惠價格各章節(內容敘述僅供參考) --- 考試大綱請參考 Certified SOC Analyst (CSA) Exam Blueprint v1 https://cert.eccouncil.org/images/doc/CSAv1-Exam-Blueprint.pdf CH1 安全運營和管理 --- Module 01: Security Operations and Management Security Operation Center結構、組成 SOC安全營運中心資料收集架構、方式(類似SIEM) 有九項功能作業分別是 Log Collection-> Log Retention and Archival->Log Analysis->Mointoring of security Environments for security Evnets->Event Correlation->Incident Management->Threat identification->Threat Reaction->Reporting 同一收集日誌-> Singlepoint view 要記得Data ingestion process Collection->Normalization->Indexing->Database->Correlation Soc本身的能力和提供的標的 Preventing ->其實如果只是單純的siem沒辦法，因為只是看，但是soc立場主要分為一線、二線所以它的立意是當一線或者系統跳出異常告警，要有人去阻擋 Detection->偵測是，前提在於你有把規則寫好，告訴你的siem Responding->回應同上兩點，要先發現，才能讓已經編好的人員去處理，或者透過自動化處理(前提是有做SOAR) Reporting->報告，這是原本就有的，主要敘述是他彙整一段時間或者臨時性緊急情況的成果 SOC工作流程 Collect->Ingest->Validate->Report->Respond->Document SOC中心的成員腳色 CISO(資安長)->SOC經理->SOC L2->SOC L1 SOC Analysts (Tier I and Tier II) 平行結構一線SOC、二線SOC、事故回應及處理小組、調查小組一線SOC負責日常維運、監控、報告、基本上是24X7，輪班至少三班到四班，早、中、晚、大夜二線SOC負責審閱或處理一線SOC開出來的事件單、事故單，或者反映上來的事件事故回應及處理小組是二線SOC發現問題沒辦法處理的時候會交給IRT來排除問題調查小組則是已經發生事故，針對事故做取證、資料收集還有一個角色叫做外部專家(通常是廠商或者顧問) SOC架構模型(3種) In house / Internal 就是自有、自建、自管 outsourced 就是放別人家的設備 Hybird 混和模式就是有自建然後靠別人管理或者放別人家裡自己管理等 SOC 能力成熟度模型 Level 0 - Level 5 SOC中心的發展架構(從1975年開始到現今第五代或第六代) CH2 了解網路威脅，IoC和攻擊方法 --- Module 02: Understanding Cyber Threats,IoCs, and Attack Methodology Attack = Motive(Goal)+Method(TTPs) + Vulnerability CH3 事件、事件和日誌記錄 --- Module 03: Incidents, Events, and Logging CH4 危機事件偵測與安全訊息及事件管理的(SIEM) --- Module 04: Incident Detection with Security Information and Event Management(SIEM) CH5 利用威脅情資增強事件檢測能力 --- Module 05: Enhanced Incident Detection with Threat Intelligence CH6 危機處理程序及應對方法 --- Module 06: Incident Response Incident Response Team (IRT)事故處理團隊角色、成員、利害關係人 SOC跟IRT團隊的工作與角色 IR 9 個步驟 Preparation、Incident Recording and Assignment、Incident Triage、Notification、Cotainment、Evidence Gathering and Forensic Analysis、Eradication、Recovery、Post-incident Activities 建立數位鑑識實驗室的6個步驟 Planning and budgeting -> Physical location and structural design considerations -> Work area considerations -> Human resource considerations -> Physical security recommendations -> Forensics 資安事件通報相關的表單與文件化 CVSS弱點風險矩陣 https://ithelp.ithome.com.tw/articles/10203313 https://ithelp.ithome.com.tw/articles/10203906 處理Dos/DDos攻擊的方法建議 Egress Filtering，顧名思義這種方法會檢查所有從該網路發出去的封包，確認他們都有合法的 source header Ingress Filtering 一種放在網路節點（network edge）上的封包過濾（packet filtering）機制，它會檢視每個進來的封包，像是查看是否 source IP 跟 origin 一樣。如果是一個內部網路來的 packet, 卻有一個外部網路的 source IP，那麼很有可能這個 packet 有被 IP-spoofed 了。當它發現了可疑的封包，就會將之拒絕/過濾掉 Black hole filtering，是一種可用來取代ACL以過濾不要的流量的技術，將特定的route指向null interface即可常用抑止(Containment)惡意網路活動的工具跟方法 * 建立黑/白名單阻擋或放行機制黑白名單查詢的工具網站 * 網站內容過濾 -> 重點是 OpenDNS * 代理伺服器根除(Eradicating)注入攻擊的方法跟建議 * SQL Injection 字元輸入限制、客製化錯誤訊息、使用資安設備如IDS或WAF監控DB活動、關閉特殊指令如XP_CMDSHELL、隔離資料庫跟網站 * Command Injection Reference --- EC-Council安全運營中心(SOC)分析師認證課程 https://www.uuu.com.tw/Course/Show/1608/EC-Council%E5%AE%89%E5%85%A8%E9%81%8B%E7%87%9F%E4%B8%AD%E5%BF%83-SOC-%E5%88%86%E6%9E%90%E5%B8%AB%E8%AA%8D%E8%AD%89%E8%AA%B2%E7%A8%8B EC-Council https://www.eccouncil.org/train-certify/certified-soc-analyst-csa/ EC-Council Certified SOC Analyst https://cert.eccouncil.org/certified-soc-analyst.html EC-Council CSA 安全運營中心 (SOC) 分析師認證 ( EC-Council Certified SOC Analyst ) 考試心得 https://medium.com/blacksecurity/soc-analyst-770141c5de8e 312-39 Exam Flashcard https://www.linkedin.com/advice/0/what-steps-create-incident-response-team-skills-incident-response What are the steps to create an Incident Response Team https://www.linkedin.com/advice/0/what-steps-create-incident-response-team-skills-incident-response 6 Phases in the Incident Response Plan https://www.securitymetrics.com/blog/6-phases-incident-response-plan NIST Incident Response Plan: Steps and Template https://www.linkedin.com/pulse/nist-incident-response-plan-steps-template-dan-duran/ NIST Incident Response: Your Go-To Guide to Handling Cybersecurity Incidents https://www.auditboard.com/blog/nist-incident-response/ Federal Incident Notification Guidelines https://www.cisa.gov/federal-incident-notification-guidelines What are the steps to create an Incident Response Team https://www.linkedin.com/advice/0/what-steps-create-incident-response-team-skills-incident-response [Security] DDoS: Distributed Denial of Service Attack https://codecharms.me/posts/security-ddos-distributed-denial-of-service-attack ###### tags: `EC-Council` `CSA`